none
DNS Konfiguration > Zentrale 2 DC's > Standorte nur Router > mit Zeichnung RRS feed

  • Allgemeine Diskussion

  • Hallo Forumsgemeinde,

    folgende Situation:

    In der Zentrale stehen zwei Windows Server 2008R2 DC's, des weiteren gibt es zwei Standorte welche über
    VPN angebunden sind, dort stehen keine Server zur Verfügung nur Client welche mit dem VPN Router verbunden sind.

    Wie sollte die DNS Konfiguration jetzt aussehen? welche Einträge sollten auf den VPN Routern erfolgen und welche DNS sollten die Client vom DHCP zugewiesen bekommen?

    Danke im voraus für die Antworten.

    Zentrale

    DC1 :192.168.0.1
    DC2: 192.168.0.1
                 |
                 |
    VPN Router : 192.168.0.254---------------------------------Standort2: VPN Router: 192.168.2.254
                |     DNS Einträge: ?                                                                                     |       DNS: Einträge: ?                                                                                                      |
                |                                                                                                             Client: DNS  
    Standort1 : VPN Router:192.168.1.254                                                     Einträge: ?
                |     DNS Einträge: ?
                |
    Client:  DNS Einträge ?



    Donnerstag, 12. Dezember 2013 13:39

Alle Antworten

  • Am 12.12.2013 14:39, schrieb server-admin:

    Wie sollte die DNS Konfiguration jetzt aussehen?

    der Windows Client muss IMMER! einen DNS fragen, der die ServiceRecords kennt. In deinem Fall einen der beiden DCs.

    Der Router als DNS ist untauglich. Selbst, wenn er als Caching DNS, oder reiner Forwarder eingesetzt wird, am Ende muss er den AD DNS fragen.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 12. Dezember 2013 14:18
  • Macht es einen Unterschied in welcher Reihenfolge die DNS Einträge im Client stehen?

    Zuerst die DC DNS

    dann die vom Router ?

    Freitag, 13. Dezember 2013 07:55
  • Auf dem AD-integrierten Clients sollten KEINE DNS-Einträge vorhanden sein, die NICHT auf ein AD-integrierten DNS-Server zeigen.

    Sprich: Lediglich DNS-Server mit SRV-Records für Dein AD eintragen, sonst keine - kein Router, keine externen DNS-Server etc.

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Freitag, 13. Dezember 2013 09:52
  • Hi,

    Am 13.12.2013 08:55, schrieb server_admin:

    Zuerst die DC DNS
    dann die vom Router ?

    Letzteren garnicht, denn er kennt dein AD nicht und zu ca. 10 Minuten Loginzeiten kommen, wenn er verwendet wird.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 13. Dezember 2013 11:16
  • Die Clients gehen ins Internet vom Standort raus also nicht über das VPN.

    WIe funktioniert dann die Namensauflösung? löst der DC auf?

    Und was ist wenn wenn das VPN nicht zur Verfügung steht und DC DNS Server nicht erreichbar sind?

    Samstag, 14. Dezember 2013 10:22
  • Am 14.12.2013 11:22, schrieb server_admin:

    Die Clients gehen ins Internet vom Standort raus also nicht über das VPN.

    Ja und?

    WIe funktioniert dann die Namensauflösung? löst der DC auf?

    Wenn er so konfiguriert ist, das er nach draussen darf, ja sicher, er ist ein DNS.

    Und was ist wenn wenn das VPN nicht zur Verfügung steht und DC DNS Server nicht erreichbar sind?

    Dann gibt es kein Internet, dafür stellst du dir nen DC in den Standort, oder einen DNS, der die SRV Records kennt.
    Oder kurzfristig dann den DNS am Client ändern, aber hinterher auf jeden Fall wieder retour.

    Ohne DNS mit SRV Records, kein AD.
    Ohne DNS kein Internet. Einen Tod musst du sterben.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Samstag, 14. Dezember 2013 10:42
  • Was spricht dagegen wenn man den VPN Router DNS eintrag als zweiten Eintrag im Client tätigt,
    wenn dann das VPN wegbricht würde der Client über ersten Eintrag nicht auflösen können dann aber über den zweiten DNS Eintrag.

    Samstag, 14. Dezember 2013 10:47
  • > Was spricht dagegen wenn man den VPN Router DNS eintrag als zweiten
    > Eintrag im Client tätigt,
    > wenn dann das VPN wegbricht würde der Client über ersten Eintrag nicht
    > auflösen können dann aber über den zweiten DNS Eintrag.
     
    Daß der VPN-Router deinen DC nicht kennt. Der Client merkt sich aber,
    mit welchem DNS er erfolgreich war -> der Client findet kein AD mehr.
    Auch dann nicht, wenn der DC wieder da ist.
     

    Martin

    Mal ein Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 16. Dezember 2013 13:56
  • Warum kennt der VPN Router den DC nicht?

    Ich kann doch im VPN Router die DC's als DNS Eintragen?

    Dienstag, 17. Dezember 2013 12:58
  • Hi,

    Am 17.12.2013 13:58, schrieb server_admin:

    Warum kennt der VPN Router den DC nicht?
    Ich kann doch im VPN Router die DC's als DNS Eintragen?

    Aha, und dann passiert was, wenn das VPN aus ist?

    Die Clients schwenken nicht "einfach so" wieder zum DC-DNS nur weil er wieder da ist. Sie behalten den VPN Router als DNS und dann kannst du zB keine Gruppenrictlinien übergeben oder hast 10 Minuten Anmeldezeiten.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 17. Dezember 2013 15:20
  • > Ich kann doch im VPN Router die DC's als DNS Eintragen?
     
    Du brauchst dann aber auch die Servicerecords (_msdcs usw.)... Kannst Du
    in Deinem VPN-Router SRV-Records anlegen? Bei allen, die ich bisher
    hatte, ging nur A (Host).
     

    Martin

    Mal ein Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 17. Dezember 2013 15:58